Sieciowe systemy wykrywania włamao (network based IDS)
Transkrypt
Sieciowe systemy wykrywania włamao (network based IDS)
BSS :: Laboratorium 6, 10/01/2011 Woś Krzysztof, Grupa 4I1 Sieciowe systemy wykrywania włamao (network based IDS) Tcpdump Sied 194.29.167.0/24. Komputery pracujące w sieci, to w większości komputery oparte na systemie operacyjnym linux/unix (większośd ttl=64). Można również wnioskowad, że komputery są łączone za pomocą switchy (oprócz własnego ruchu, widzimy tylko pakiety rozgłoszeniowe). Adres serwera DNS otrzymujemy za pomocą filtra: udp and port 53, rezultat: proton.elka.pw.edu.pl:53 Adres bramy otrzymujemy za pomocą poleceo: traceroute mion.elka.pw.edu.pl i tcpdump icmp, rezultat: rii.ii.pw.edu.pl Ruch z danego protokołu otrzymujemy za pomocą filtra np. udp Ruch z danego adresu otrzymujemy za pomocą filtra np. src host 212.77.100.101 Zaobserwowane podczas pracy zostały pakiety arp, udp (nfs, netbios), tcp, icmp. Nmap Przy skanowaniu nmap najpierw sprawdza czy dany host jest aktywny poprzez wysłanie pakietu icmp(ping) a następnie wysłanie tcp syn na port 80 danej maszyny. Po takim wstępnym rozpoznaniu następuje skanowanie właściwe. Wynik polecenia nmap 194.29.167.244 -v -sS -O: Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Host p138-nt14 (194.29.167.244) appears to be up ... good. Initiating SYN Stealth Scan against p138-nt14 (194.29.167.244) Adding open port 111/tcp Adding open port 22/tcp Adding open port 80/tcp The SYN Stealth Scan took 0 seconds to scan 1601 ports. For OSScan assuming that port 22 is open and port 1 is closed and neither are firewalled Interesting ports on p138-nt14 (194.29.167.244): (The 1598 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 80/tcp open http 111/tcp open sunrpc Skanowanie portów. Nmap w celu prowizorycznego ukrycia skanowania portów, skanuje je w losowej kolejności. - nmap –sS: najpierw następuje badanie czy w ogóle dany host jest aktywny, po czym następuje wysłanie pakietu TCP SYN na dany port. Przy otwartym porcie, badany host odpowiada TCP SYN+ACK i resetuje połączenie pakietem TCP RESET. Przy porcie zamkniętym natomiast badany host od razu wysyła pakiet TCP RESET. - nmap –sT: podobnie, najpierw następuje badanie, czy w ogóle dany host jest aktywny, wysyła pakiet TCP SYN. W przypadku otwartego portu otrzymuje odpowiedź TCP SYN+ACK, wtedy wysyłany jest pakiet TCP ACK i resetowanie połączenia pakietem TCP RESET. Przy porcie zamkniętym od razu otrzymany zostaje pakiet TCP RESET. - nmap –sU: badanie następuje tutaj za pomocą pakietów UDP. - nmap –sF: wysyłany jest pakiet Fin na dany port. W przypadku portu zamkniętego otrzymywana odpowiedź jest RESET. Fingerprinting. Wykonywany jest poleceniem nmap –O. Fingerprinting pokazał, że jądro systemu na którym pracujemy jest 2.40-2.5.20. Snort - snort –A full: dodatkowo otrzymywane są w logu informacje z nagłówka pakietu (takie jak np. ttl, TOS, IpLen, itp.). - snort –A fast: dostajemy jedynie podstawowe informacje o przesyłanych pakietach: host źródłowy i docelowy oraz typ protokołu. Wszytkie logi z działania programu są zapisywane w pliku /var/log/snort/alert oraz w katalogu /var/log/snort/IP_ADRES możemy znaleźd dodatkowe informacje. Reguła spełniająca założenia prowadzącego, powinna wyglądad następująco: alert ip any any <> any 80 (msg: "wykryto ATAK";content:"ATAK";nocase;)